Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
A Detecção de ameaças do Agent Engine observou um URL malicioso na lista de argumentos de um processo executável. Os invasores podem carregar malware ou bibliotecas maliciosas por URLs maliciosos.
O Agent Engine Threat Detection é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
Analisar os detalhes da descoberta
Abra a descoberta
Malicious URL Observed, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.Na guia Resumo, confira as informações nas seções abaixo.
- O que foi detectado, especialmente os seguintes campos:
- URI: o URI malicioso observado.
- Binário adicionado: o caminho completo do binário do processo que recebeu os argumentos que contêm o URL malicioso.
- Argumentos: os argumentos fornecidos ao invocar o binário do processo.
- Variáveis de ambiente: as variáveis de ambiente que estavam em vigor quando o binário do processo foi invocado
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
ReasoningEngine)
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
- Links relacionados, principalmente o seguinte campo:
- Indicador do VirusTotal: link para a página de análise do VirusTotal
- O que foi detectado, especialmente os seguintes campos:
Procure descobertas relacionadas que ocorreram em um momento semelhante para o agente de IA afetado. Essas descobertas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.
Revise as configurações do agente de IA afetado.
Verifique os registros do agente de IA afetado.
Pesquisar métodos de ataque e resposta
- Verifique o Status do site na Navegação segura para ver detalhes sobre o motivo da classificação do URL como malicioso.
- Analise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Transferência de ferramenta de entrada.
- Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.
Implementar a resposta
Para recomendações de resposta, consulte Responder a descobertas de ameaças de IA.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.